第一回東京勉強会

SaaSへの攻撃によるユーザへの影響を検証 ~社労士SaaSをモデルにして考える~
日時 2023年09月29日(金)16:00~18:00
会場 オンライン(Zoom) & 一般社団法人ソフトウェア協会 会議室
定員 オンライン 無制限 / 会場参加 10名
参加資格 企業のシステムご担当者様 及び ご関係者様
※定員になり次第締め切りとさせていただきます。
※応募者多数の場合は、システムご担当者様を優先させていただきます。
※第三部の座談会は、会場にてご参加の方のみで開催させていただきます。
テーマ SaaSへの攻撃によるユーザへの影響を検証 ~社労士SaaSをモデルにして考える~
内容 自社で利用中のSaaSプロダクトがサイバー攻撃で、サービス提供ができなくなり多くの利用者が利用できなくなりました。
安心して利用できるはずのSaaSサービスがどうしてと思う方は多いと思います。
今後のSaaS導入には新たな視点でサービスの安全性を見極める必要がでてきました。今回影響を受けた利用者からその実態をお聞きします。

リアル会場はソフトウェア協会セミナールームです。

座長報告

関野 博之

アルティウスリンク株式会社
デジタルCX統括本部
サービス戦略本部
サービス企画部 統括ユニット長
関野 博之

2023年度からPCNWの勉強会は東京と大阪の2拠点で実施、東京では去年まで分けていた「クライアント管理勉強会」と「ITトレンド勉強会」を統合し、「東京勉強会」として開催する事となりました。
記念すべき第1回のテーマは「SaaSへの攻撃によるユーザへの影響を検証~社労士SaaSをモデルにして考える~」でしたが、初めての会場&久しぶりのリアル+オンライン開催という事で、当日は様々な不備がありました。
まずはご参加の皆さまにお詫び申し上げます。

さて、今回の事例紹介では、社会保険労務士岩野麻子事務所 経営管理部システムエンジニア 増永隼人様より、本年発生した、サイバー攻撃による社労士向け業務システム「社労夢」等における影響についてでした。
大変生々しい内容で、他の事務所の方にもお話を聞くなど自社を超えた内容で引き込まれました。
2例目は、某社における同システム停止の影響と、VBAを利用した対策例を私よりお話ししました。
些末な内容ですが、皆さまに少しでもお役に立てていただければれば幸いです。

私自身は「社労夢」を触ったことは無いのですが、何でも業界ナンバー1のSaaSだったとの事で、停止の影響は計り知れなかったと思います。
某社では今回SaaSが使えなくなったことで、手続きがe-Govへの手入力対応となり、倍以上の工数になったと聞きました。
しかし、業界ナンバー1というのは、システムの選定理由としては大変説得力がありますよね、上層部への説明としても楽であるといった意見が、後半のディスカッションでも出ていました。

アンケート結果では「利用しているSaaSが障害で使えなくなった事があった」の回答に対し、「影響大」と回答した方がいなかった点は意外でした。
SaaSの利用が全体のどの部分かにもよるとは思いますが、ディスカッションでは「SaaSが止まる事は、既にある程度慣れたのでは」との意見がありました。
確かに私も、利用している「Teamsが遅くなるなど割と良くある事」と認識しています。

では私たちはSaaSとどう付き合っていけば良いのでしょう?
今後も、業界ナンバー1だからという選定理由が不動の人気を誇る事は間違い無いと思います。
しかし、これまでは「業界ナンバー1」という説明だけで納得してくれていた方が「そういえば先日業界ナンバー1で何かあったな?」などと思い出すかもしれません。
私たちはそれをリカバーする説得材料を持つ必要がありますが・・・今回はそろそろお時間のようです。
私自身は1990年代後半に稟議書(当時は承認書でした)作成の機会が多く周ってきました。
部長に突き返されるは数知れず。購買、経理、常務、社長・・・電子決済なんて無い時代です。
効率悪かったですが、顔を覚えられ、コミュニケーションが取れたのは、悪くはなかったです。
こんなことを覚えているなんて、やはりこの辺りのネタもまだまだ尽きないようです。


登壇者報告

■ 増永様コメント
「社労士SaaS ランサムウェア被害の実情」をテーマに、社労士事務所の情シスとしてお話させていただきました。

今回のSaaSは、社労士用システムというニッチな業界では古参のシステムで、小規模な事務所が多い社労士業界では導入がしやすく、シェアNo1のものでした。
影響を受けた事務所が多く、一番の繁忙期に被害にあったこともあり話題にもなりました。

弊事務所は使用しておらず、直接の影響はありませんでしたが、この登壇用の情報収集に際して、被害を受けた他事務所の事例を聞く機会を得ることができ、システムが止まったときに備えてどのように対応しておくべきかを考えるきっかけになり、とても教訓になる事例となりました。

たとえば、システム無しで業務遂行ができる状態なのかどうか。
SaaSが停止して使えない状態になり、では以前のワークフローで業務を…と思っても、マスターデータが手に入らない状態では何も進められません。
ローカルに個人情報がなければ、顧問先や関係各所に情報提供をお願いすることになってしまいます。
また、通常社労士事務所はSaaSにマイナンバーを入れてしまい、手元には残しておりません。
SaaSが使用できなくなる前提では、マイナンバーの保存の仕方も法律に従って整える必要があります。

次に、影響範囲が意外と大きくなる可能性があること。
社労士に限らず個人情報を含む業務をされているのであれば、漏洩「疑い」の段階で個人情報保護委員会への報告が必要になります。
速報は状況を知ってからおおむね5日以内と、スピードも求められます。
漏洩疑いの本人へどのように告知するかも検討しなければなりません。
今回はさらに、すでに契約が終了した元顧問先、以前雇用していた従業員にも連絡をとらないといけない場合もありました。
業務が止まるだけでなく、ほかにも様々なことに対応する必要が出てきます。

そして、復旧までの期間が読めないこと。
復旧するまで手作業で耐えるのか、別システムに乗り換えるのか、復旧に時間がかかることがわかれば決断もできますが、情報は錯綜、暫定的に復旧したシステムで業務再開しても不安定と、正解がわからない状態が続きました。

「クラウドなら安全、シェアNo1だから大丈夫」となりがちですが、サイバー攻撃の多い今日この頃、システム導入時はしっかりと評価をし、より安全なシステムを見極める必要がありそうです。

また、今回は他企業の解決事例を知ることができ、大変参考になりました。
このセミナーに参加することで、通常知りえない知見・解決方法を知ることができたのは本当にありがたかったです。
このような機会をいただき、ありがとうございました。

参加者の声

  • IT企業に勤めていたので提案する側でしたので、実際に被害を受けたユーザーさん側の話を聞かせて頂いたのは良い経験になりました。
  • SaaSの対応で復旧を待つ方が多かったのは意外とビックリで、とはいえ、他のもっとより良い方法がもっとあればと思いました。

© PC・ネットワークの管理・活用を考える会